Polskie uczelnie i CERT Polska ostrzegają studentów. „Dochodzi do wyłudzenia pieniędzy”

Phishing, czyli ataki polegające na wyłudzaniu danych poprzez podszywanie się, wciąż stanowią poważne zagrożenie. Nie tak dawno informowaliśmy o rozsyłaniu SMS-ów z nadpisu „mObywatel”, które próbowały zmusić użytkowników do opłacenia fałszywych mandatów za rzekome wykroczenia drogowe.

Tym razem na celowniku cyberprzestępców znaleźli się studenci polskich uczelni. Komunikaty opublikowane zostały m.in. przez Uniwersytet Warszawski, Śląski Uniwersytet Medyczny w Katowicach, Akademię Finansów i Biznesu Vistula czy Uniwersytet Zielonogórski.

Phishing na "zaległości w opłatach"

„CERT Polska obserwuje kampanię phishingową wymierzoną w środowisko akademickie. Pod pretekstem zaległej opłaty za studia dochodzi do wyłudzenia pieniędzy” – czytamy w komunikacie CERT-u z 7 maja br.

Co najgorsze – wiadomości mailowe mają przychodzić z prawdziwych skrzynek mailowych w domenie uczelni. Mowa o przejętych kontach studentów, doktorantów i pracowników uniwersytetów.

Zanim dokonasz przelewu lub podasz swoje dane logowania, zweryfikuj prawdziwość żądania z dziekanatem.
CERT Polska

CERT apeluje o stosowanie dwuetapowego uwierzytelniania (2FA) oraz informowanie osób, które mogą zostać dotknięte przez cyberataki.

Szczególne zagrożenie

Kilka tygodniu temu opisywaliśmy poważny atak ransomware na Uniwersytet Warszawski. W komunikacie uczelni z 21 kwietnia br. wskazano, że do incydentu doszło wskutek zalogowania się do systemu „przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte” – najprawdopodobniej wskutek złośliwego oprogramowania.

Ataki phishingowe po wycieku kilkudziesięciu tysięcy plików mogących zawierać dane osobowe są szczególnie groźne, ponieważ pozwalają dopasować wiadomość pod konkretnego odbiorcę. W połączeniu z wykorzystaniem przejętych skrzynek w prawdziwych domenach – zaleca się szczególną ostrożność wobec jakichkolwiek próśb o dokonanie płatności czy podanie danych osobowych.

Pliki wykradzione z Uniwersytetu Warszawskiego nie są już dostępne w darkencie. Udało się nam jednak ustalić, że w katalogu osoby pracującej w sekretariacie znajdował się arkusz Excela dotyczący zaległych płatności. Należy przy tym dodać, że kampania nie musi być jakkolwiek powiązana z tym plikiem, lecz pokazuje możliwość dostosowania phishingowej wiadomości do konkretnego użytkownika.

Z naszych informacji wynika, że w 2025 roku do studentów jednej z polskich uczelni wojskowych wysyłano maile phishingowe, mówiące o rzekomej „konieczności potwierdzenia swoich danych osobowych”. Cyberprzestępcy najprawdopodobniej próbowali podszyć się pod jednostkę organizacyjną zajmującą się obsługą studentów. Uczelnia niezwłocznie zareagowała na próby wyłudzenia danych osobowych, wysyłając maile z rekomendacją działań w przypadku podania swoich danych logowania.

Jak działać?

Pamiętajmy, aby wszelkie próby wyłudzeń danych zgłaszać do odpowiedniego CSIRT-u – dla osób fizycznych jest nim CERT Polska. W przypadku otrzymania złośliwych SMS-ów warto przekazać je na numer 8080.

Niezależnie od tego, czy nasze dane uległy naruszeniu ochrony, warto zastrzec swój numer PESEL oraz korzystać z unikalnych i odpowiednio złożonych haseł. Niezmiennie kluczowa pozostaje rola dwuetapowego uwierzytelniania.